Achtung: Phishing-Methode ‚Inception Bar‘ fälscht die Adressleiste in Google Chrome

Inception Bar Chrome für Android liefert Phishing-Attacken einen neuen AnsatzPhishing ist ein großes Problem, zumal die Methoden der Phisher immer ausgefeilter werden. Ist man Opfer von Phishing geworden, kann man in der Regel erst einmal wenig machen, denn dann haben Angreifer bereits korrekte Zugangsdaten abgreifen können. Oft hört man, das man einfach auf die Url-Bar schauen soll, um sich zu vergewissern, dass man auch auf der echten Seite eines Dienstes ist.

Das Phishing basiert stets darauf, dass dem Nutzer vorgespielt wird, sich auf einer bestimmten Seite zu befinden und dort Zugangsdaten oder wichtige Informationen wie etwa Kreditkarten-Daten eingeben zu müssen.

Solche Webseiten bauen Login-Formulare bis auf kleinste Detail nach und sind rein von der Oberfläche im besten/schlimmsten (wie man es sieht) Fall nicht vom Original zu unterscheiden. Es hilft also nur ein Blick auf die Adressleiste. Wenn es denn die echte ist.

chrome phishing

Der Sicherheitsforscher James Fisher hat nun ein neues Konzept vorgestellt, das das Phishing im mobilen Chrome-Browser noch einmal auf ein neues Level hebt. Bei der „Inception Bar“-Methode wird die Adressleiste inklusive der Navigation des Browsers nachgebaut und dem Nutzer statt der echten Adresszeile angezeigt.

Dadurch ergibt sich, wie in folgender Animation zu sehen ist, für den Phisher die Möglichkeit, die gesamte Navigation bzw. die vollständige Browsersitzung des Nutzers zu kapern.

Diese Methode macht es sich zunutze, dass der mobile Chrome-Browser die Adressleiste automatisch ausblendet, sobald der Nutzer weiter nach unten scrollt. Das ist praktisch und spart Platz auf dem Display ein, ist in diesem Fall aber sehr gefährlich. Scrollt der Nutzer wieder nach oben, blendet die Webseite ihre eigene Leiste ein und kann dank einem ganzseitigen DIV-Overlay sogar verhindern, dass die echte Adressleiste wieder angezeigt wird. Der Nutzer bekommt also die falsche Leiste zu sehen, ohne dies visuell merken zu können.

Falls Ihr die Funktionsweise ausprobieren wollt, folgt einfach diesem Link mit Chrome für Android und scrollt. Würdet Ihr drauf reinfallen?